發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時間:2020-09-16 瀏覽次數(shù): 次
這些技術(shù)顯示出了巨大的潛力,當然也不乏炒作。
企業(yè)采用這些技術(shù)的時候,流程和技術(shù)本身仍然不夠成熟,雖然可以預期這些技術(shù)的獲益,但均處于緩慢而謹慎地發(fā)展狀態(tài)中。
本文旨在提出一些更具突破性的前景技術(shù):1. Apache Kafka(分布式消息隊列)根據(jù) ESG 的研究,與兩年前相比,有 77% 的企業(yè)收集、處理和分析了更多的安全數(shù)據(jù)。
都是什么樣的數(shù)據(jù)呢?一切數(shù)據(jù):日志數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包和流、網(wǎng)絡(luò)威脅情報、應用數(shù)據(jù)、云遙測等等。
這對于持續(xù)的安全監(jiān)控是有意義的,但是移動和處理實時數(shù)據(jù)流需要高度擴展的數(shù)據(jù)管道。
Apache Kafka 是一個分布式流媒體平臺(最初由 LinkedIn 開發(fā)),每天可以處理數(shù)萬億起事件。
Apache Kafka 為萬億字節(jié)的安全遙測提供了發(fā)布 / 訂閱消息總線,然后將其實時提供給多個分析引擎。
因此,Apache Kafka(和其他工具,如 RabbitMQ)可以幫助企業(yè)實現(xiàn)更快速的威脅檢測和響應。
最早的 Apache Kafka 主要應用于基層開發(fā)工作中,但是從那時候起供應商就注意到它。
在 2018 年,為了利用框架和其他 SIEM 工具,Splunk 為 Kafka 提供了一個連接器,安全分析供應商也參與其中。
如果沒有具有高性能、高擴展性和管理良好的數(shù)據(jù)管道,我們就無法收集、處理、分析和執(zhí)行安全遙測。
Apache Kafka 正在這個領(lǐng)域發(fā)揮真正的作用。
2. MITRE ATT&CK 框架 (MAF)讓我們面對現(xiàn)實吧,多年來 MITRE 經(jīng)歷了一些波折和失誤,推出了一些復雜的技術(shù)框架,這些框架從未得到除了美國聯(lián)邦政府之外其他方的認可 (如 FCAPS) 。
為什么 MAF 會不同?正如孫子所言:“知己知彼,百戰(zhàn)不殆。
” 在很多情況下,網(wǎng)絡(luò)安全分析師對自己了解很多,但對敵人了解卻很少,因此他們傾向于單獨處理每一起安全事件,而不是尋找攻擊模式。
Lockheed Martin 在 2011 年通過引入 “殺傷鏈” (kill chain) 改變了人們的網(wǎng)絡(luò)安全思維,但安全團隊需要先進的威脅情報和安全分析技能,才能將安全事件對應到 Lockheed 的模型中。
MAF 通過充當 “粘合劑” 來填補了這一空白,幫助分析人員將殺傷鏈上的單個事件置于情境中進行視覺化,并向他們提供詳細的指導,告訴他們下一步該從哪里著手來發(fā)現(xiàn)更大規(guī)模的網(wǎng)絡(luò)安全攻擊。
隨著 MAF 用戶的增加,MAF 支持在所有類型的安全分析工具中無處不在也就不足為奇了。
遵循孫子的智慧,MAF 迫使網(wǎng)絡(luò)安全分析師像其對手一樣思考。
難怪它會產(chǎn)生如此深遠的影響。
3. OpenC2這個 OASIS 標準比 Apache Kafka 或 MAF 更難懂,實際上它還沒有產(chǎn)生什么影響,然而它有很大的潛力。
OpenC2 創(chuàng)建了一個抽象層,用于標準化安全控制的通信和指令。
例如,假設(shè)某個組織機構(gòu)收到了特定IP地址是惡意的高保真威脅情報。
立即響應會在所有安全控制中阻止這個 IP 地址。
在現(xiàn)有的安全技術(shù)下,這可能意味著要將這一規(guī)則轉(zhuǎn)換成供應商特定的語法,這在大型異構(gòu)企業(yè)中可能很麻煩。
這就是為什么 SIEM、SOAR 和 TIP 供應商(以及其他供應商)花費如此多的時間和精力開發(fā)連接器和建立合作伙伴生態(tài)系統(tǒng)的原因。
OpenC2 可以通過通用標準來減輕這種需要轉(zhuǎn)譯問題。
與單獨的連接器不同,端點安全軟件、防火墻、代理、DNS 服務(wù)等安全控制能夠和 OpenC2 通信,因此分析引擎可以為所有相關(guān)的安全控制發(fā)布一個統(tǒng)一的規(guī)則。
相信這種標準化可以真正對自動化、加速和擴展數(shù)據(jù)驅(qū)動的安全流程有幫助。
Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有